EL CÓDIGO ES EL MOTOR QUE MUEVE LA ERA DE LA INFORMACIÓN
Hoy en día se dice que todas las empresas son empresas de tecnología. Pero ¿por qué? Todas las organizaciones pequeñas o grandes emplean para sus distintos procesos alguna forma de tecnología, por mencionar algunos: email, Web, cómputo, redes sociales, aplicaciones de mensajería, etc. Y en el centro de todas estas tecnologías está el Software, todos nuestros procesos dependen de ello, por lo cual consideramos de suma importancia asegurarnos que eliminamos la mayor cantidad de vulnerabilidades desde las etapas más tempranas, el diseño y desarrollo.
¿QUÉ ES UNA PRUEBA DE SEGURIDAD AL CÓDIGO FUENTE?
¿EN QUÉ CONSISTE UN ANÁLISIS DE CÓDIGO O ANÁLISIS ESTÁTICO?
El servicio de Pruebas de Seguridad al código SAST por sus siglas en inglés Static Application Security Testing que proporcionamos en México, es una metodología proactiva para analizar el código fuente y detectar posibles vulnerabilidades de seguridad sin ejecutar el programa. Al integrar SAST en el ciclo de vida del desarrollo de software (SDLC), podemos identificar y resolver problemas de seguridad desde las primeras etapas del desarrollo, mucho antes de que el software llegue a producción.
¿CÓMO SE ANALIZA EL CÓDIGO?
El código se analiza con herramientas de vanguardia que identifican código vulnerable a través de archivos y funciones que reducen falsos positivos, identificando vulnerabilidades clásicas como SQL injection, cross-site scripting (XSS), problemas de autenticación y autorización, funciones peligrosas, pero también problemas un poco más difíciles de identificar como anti-patrones y problemas de lógica de negocio.
Adicional a descubrir vulnerabilidades en tu código, también te ayudamos a identificar problemas en librerías de terceros, y temas de licenciamiento, ayudando a que tu aplicación salga lo más segura posible, esto se le conoce como Software Composition Analysis (SCA) o Análisis de Composición de Sofware.
El SCA se ha vuelto una herramienta esencial en el desarrollo de software moderno, especialmente con el creciente uso de código abierto y la necesidad de garantizar la seguridad y el cumplimiento normativo en el desarrollo de aplicaciones.
REPORTES
Detallados y Acciones Recomendadas: Proporcionamos informes completos que detallan los hallazgos de seguridad, su severidad y posibles recomendaciones para su remediación.
¿CUÁLES SON ALGUNOS DE LOS BENEFICIOS DE UN SERVICIO SAST?
Prevención Proactiva de Riesgos de Seguridad: Detecta y soluciona vulnerabilidades antes de que se conviertan en problemas mayores.
Cumplimiento con Estándares de Seguridad: Asegura que tu software cumpla con los estándares de seguridad y regulaciones de la industria.
Mejora de la Calidad del Código: Contribuye a la calidad general del software y a una base de código más robusta y confiable.
Ahorro de Tiempo y Recursos: Evita los costosos esfuerzos de remediación en etapas posteriores del desarrollo.
¿QUÉ LENGUAJES DE PROGRAMACIÓN SOPORTAN?
Actualmente soportamos los lenguajes más populares por mencionar algunos:
- PHP
- Python
- JavaScript
- Java
- C#
- Go
- TypeScript
- Kotlin
- Ruby
- Rust
- Scala
- Terraform
NUESTRA DIFERENCIA
Como sabes nuestra misión en Kolibërs Group es incrementar la seguridad de los ciudadanos y de las Micro, Pequeñas y Medianas empresas de México y el mundo. Más información sobre nuestra misión aquí: Nuesto ADN
Así que hemos diseñado un esquema que nos permite ofrecer costos accesibles y al mismo tiempo ofrecer servicios de calidad pues creemos que la seguridad debe ser para todos no solo para quien pueda pagarla.
Nuestro servicio de análisis de código, es mayormente automatizado, tratamos de eliminar el mayor número de falsos positivos con las herramientas que usamos y también de forma manual, pero para ahorrar costos mantenemos la interacción de los humanos al mínimo, si deseas pruebas donde exista más involucramiento humano tenemos un servicio más profundo y un más costoso, pero creemos que nuestra oferta inicial será de gran ayuda para producir código más seguro y eficiente.
RETEST
Como todos nuestros análisis te ofrecemos que si en menos de tres meses corriges los hallazgos críticos y altos, podemos volver a ejecutar el escaneo y decirte si fue corregido o no y orientarte sobre la corrección de lo que se llegará a quedar abierto.
COSTO APROXIMADO DE UNA PRUEBA SAST.
El costo de una Prueba SAST varía mucho dependiendo de las líneas de código o Lines of Code (LoC) y de la complejidad de la aplicación. Nosotros contamos pruebas SAST desde $25,000.00 pesos para Micro Pequeñas y Medianas Empresas (MiPyMEs), puesto que nuestro mercado objetivo son las PyMEs, hemos desarrollado diversos planes que se adaptan a las necesidades de cada organización.
¿CUÁL ES LA DIFERENCIA DE UN PENTEST Y UN ANÁLISIS DE CÓDIGO?
Los PenTest y el análisis de código son pruebas distintas, si bien es cierto que ambos pueden encontrar los mismos problemas como SQLi o XSS, existen otros que no se verán en el código u otros que sería muy complicado identificar en un PenTest puesto que el tiempo es generalmente muy corto por lo tanto lo ideal es que se ejecuten ambas pruebas para que se logren identificar el mayor número de problemas posible, ambas pruebas son complementarias y no mutualmente exclusivas.
¿QUÉ TAN SEGURO ESTARÁ MI CÓDIGO SI SE LOS COMPARTO?
Nuestro trabajo es ayudarte a mejorar tu seguridad no nos dedicamos al software, tu código estará seguro con nosotros pues permanece en un área aislada para cada cliente y una vez realizada la prueba tu código será eliminado de nuestros sistemas de forma permanente, por otro lado firmamos un acuerdo de confidencialidad o NDA (Non Disclosure Agreement) donde ambas partes nos comprometemos a no revelar nada de nuestra relación de negocios, también contamos con el respaldo de nuestros clientes que han confiado en nosotros desde el 2009 que hicimos nuestro primer PenTest.
¿Por qué sus costos son más económicos?
Tratamos de mantener nuestros costos accesibles para las Micro, Pequeñas y Medianas Empresas (MiPyMEs), organizaciones civiles y sin fines de lucro, hospitales pequeños y entidades gubernamentales con poco presupuesto, entre muchas más, para que este tipo de servicios de seguridad estén a su alcance para todos, no solo para los que puedan pagarlo y no se queden desprotegidas. Los servicios para grandes corporativos son diferentes ya que estos están en posibilidad de pagar el precio real de los servicios, pero aún para los corporativos nuestros precios son bastante competitivos ya que nuestra experiencia, procesos y la motivación de nuestros colaboradores optimizan los servicios.
¿CUÁLES SON LOS ENTREGABLES DE ANÁLISIS DE CÓDIGO?
Kolibërs entrega un reporte dividido en dos secciones, uno ejecutivo y uno técnico. Los cuales se entregan de preferencia en dos sesiones distintas, pues cada uno tiene diferente audiencia y propósito:
Reporte Ejecutivo:
Cómo se puede intuir en el nombre, este reporte se entrega a los ejecutivos de la organización y se explica en lenguaje no técnico los riesgos identificados y la mejor forma de solucionarlos, de esta forma la alta dirección podrá tomar decisiones informadas y aplicar sus presupuestos basado en riesgos.
Reporte Técnico:
El reporte técnico se entrega al área de desarrollo de la organización, donde se explica a detalle cada vulnerabilidad identificada, cómo se identificó y recomendaciones de la mejor manera de solucionarlas.
Siempre tratamos de ir más allá de una simple recomendación de libro, nos tomamos el tiempo de conocer a la organización, su tecnología y los retos a los que se enfrentan para recomendar las mejores soluciones y damos seguimiento a las vulnerabilidades encontradas, además tienes acceso a nuestro boletín mensual de clientes donde damos más consejos de seguridad, cursos de concientización, cursos prácticos de herramientas, descuentos con nuestros socios, etc.
¿En qué estados de México pueden dar servicio?
A pesar de estar basados en la Ciudad de México podemos presentar servicios a cualquier estado del país, siempre y cuando puedan descargar una máquina virtual y darnos el acceso para podernos conectar y realizar las pruebas necesarias.
¿Pueden realizar pruebas fuera de México?
Sí claro, actualmente contamos con una sede en España y hemos realizado Pruebas en diversos países de Latinoamérica, USA, Asia y Europa.
